Эпизод 3: Хакерский взлом — это бизнес
@BlackMASTpeakerЧто происходит, когда инновационная технологическая компания, пытающаяся разработать следующую великую вещь в истории, обнаруживает хакера в своей сети? Об этом расскажет следователь цифровой криминалистики. Финал вас удивит.
Эндрю работает в компании по оценке безопасности и цифровой криминалистики. Другие крупные корпорации нанимают его команду для обеспечения безопасности. Сегодня он хочет поделиться с нами интересной историей о том, как однажды столкнулся с хакерами в компании, занимающейся разработкой передовых технологий.
ЭНДРЮ: Мой клиент — международная технологическая фирма. Я не буду говорить название компании, но именно эта компания они тратят много времени и денег на разработку новых технологий. У них есть полноценный отдел исследований и разработок с передовыми технологиями. Фактически, они разрабатывают технологии, которые не разрабатывает ни одна другая компания, поэтому одним из их самых ценных активов является интеллектуальная собственность. Компания хочет убедиться, что хакеры не крадут эту информацию.
ВЕДУЩИЙ: Иногда компании нанимают группу безопасности, чтобы проверить сеть на присутствие хакеров в сети.
ЭНДРЮ: Они хотели, чтобы мы изучили их сеть. Мы просто ознакомились с ситуацией и использовали информацию, которую мы уже накопили в команде во время предыдущих атак.
ВЕДУЩИЙ: Группа начинает изучать журналы и сеть, а также различные устройства безопасности и сетевую активность.
ЭНДРЮ: Оценка безопасности включала использование разведывательных данных. Так мы обнаружили хакерскую активность в их сети. Это были APT-хакеры.
ВЕДУЩИЙ: Эндрю упомянул APT-хакеров. Это худший тип хакера, которого можно найти в вашей сети. APT означает Advanced Persistent Threat. Это группа высококвалифицированных хакеров, у которых есть конкретная цель. Но более того, у них часто есть значительные ресурсы, например, спонсируемые государством или просто хорошо финансируемые.
ЭНДРЮ: Мы выяснили, что они спонсируется государством. Это где-то на востоке, я думаю. Известно, что сама группа проникает и в другие технологические компании.
ВЕДУЩИЙ: Быть атакованным APT означает, что вы столкнулись с очень опытным и серьезным злоумышленником, который, скорее всего, так просто не уйдет. Обнаружить APT в сети крайне сложно. Такую ситуацию можно изучать несколько лет, чтобы понять какое вредоносное ПО используется хакерами. Затем, если мы обнаружим определенное вредоносное ПО в сети, мы сможем связать его с этим конкретным APT, но проблема в том, что после публикации отчета другие люди также получат доступ к этим методам. Группа APT может изменить свою тактику, чтобы стать более скрытной. В этом случае вредоносное ПО, обнаруженное в сети, совпадало с тем же вредоносным ПО, которое кто-то опубликовал в отчете, который связывал его с конкретной группой APT.
ЭНДРЮ: Мы потратили на исследования несколько месяцев.
ВЕДУЩИЙ: Почему нельзя было просто удалить вредоносное ПО?
ЭНДРЮ: Хороший вопрос. Нас часто спрашивают, почему мы сразу не исправим ситуацию. Клиентская среда — это международная компания. У них много офисов и достаточно сложная инфраструктура. Мы хотели получить более точную картину. Когда мы приступили к исправлению, мы не удаляли часть инфраструктуры хакеров только для того, чтобы была возможность засечь их в другом месте. Иная проблема заключается в том, что они знают, что мы следим за ними. Как только вы вмешаетесь, они узнают, что вы их преследуете и изменят свою тактику. Это сделает вас слепым.
ВЕДУЩИЙ: Команда Эндрю потратила несколько месяцев на изучение этой хакерской группы и того, что они делают. То, что было обнаружено, подтверждает худшие опасения компании.
ЭНДРЮ: Они искали системы НИОКР (Научно-исследовательские и опытно-конструкторские работы). Они хотели украсть, и они действительно украли некоторую интеллектуальную собственность.
ВЕДУЩИЙ: Эта хакерская группа не только успешно взломала сеть, но и успешно украла новейшие передовые технологии компании. Для такой передовой технологической компании кража интеллектуальной собственности является огромной проблемой, которая может иметь последствия для компании на миллионы долларов.
ЭНДРЮ: Не могу назвать точную сумму, но было много беспокойства просто потому, что они работали над технологией "убийцы" следующего поколения. Я думаю, если бы она попала в руки конкурента или в руки любой другой компании, очевидно, повлияла бы на производительность их компании довольно значительно.
ВЕДУЩИЙ: Компания была в ужасе и хотела немедленно удалить вредоносное ПО, но команде безопасности все еще нужно было понять угрозу и изучить ее подробнее. Они не были готовы его удалить.
ЭНДРЮ: Мы провели много исследований в разных областях. Как я уже сказал, мы создали стратегию решения проблемы. Я стал работать над этим ещё в 2015 году, и самые ранние доказательства, которые мы нашли, были в 2010 году. Это не было отправной точкой, это был всего лишь самый ранний признак активности, который мы смогли найти. У нас были доказательства того, что акт угрозы существовал по крайней мере 5 лет. Я помню, как сидел в зале заседаний с клиентом в их офисе. Мы сообщили им, что атака уже была в 2010 году. Это поразило их, ведь в течение минимум пяти лет кто-то имел доступ к их системам.
ВЕДУЩИЙ: Как клиент воспринял такую новость?
ЭНДРЮ: Это был неоднозначный ответ; некоторые люди разозлились и хотели знать, почему мы не исправили ситуацию немедленно. Были и другие, кто волновался за компанию: "Как ваши успехи? Что уже известно? Что мы делаем дальше?"
Затем, очевидно, был страх, потому что, как я уже сказал, это технологическая фирма: у них есть свои исследования и разработки, и они хотят быть лучшими на рынке. Это был смешанный комок эмоций и это понятно. В конце концов, мы — незнакомцы, сидящие в комнате и говорящие им, что они уже давно принадлежат хакерам, но мы еще не в состоянии что-то исправить, потому что не готовы. Это сложная тема для обсуждения с любым клиентом.
ВЕДУЩИЙ: Тем временем вы продолжили изучать APT, чтобы собрать еще больше данных.
ЭНДРЮ: Мы все еще наблюдали хакерскую активность во время исследований, на этапе мониторинга и на этапе обнаружения. Было довольно интересно, потому что они были часто активны. Мы могли видеть горизонтальное движение, мы могли видеть, как они делали вход в систему, чтобы убедиться, что их вирусы все еще находятся в системе. Они могли следить за коммуникациями и обновлять свои инструменты. Интересно наблюдать, как они это делают. Эти ребята проверяли, чтобы их вредоносное ПО все еще работало, и развертывали новые версии.
ВЕДУЩИЙ: Прошло несколько месяцев, команда криминалистов чувствует себя достаточно уверенно. Они собрали достаточно информации, чтобы удалить APT из сети раз и навсегда. Они обнаружили потенциальные пути проникновения хакеров, какие входы в систему они использовал, куда шли и что делали. Пришло время всё исправить и, наконец, выгнать эту хакерскую группу из сети, но внезапно активность APT прекратилась...
ЭНДРЮ: В течение нескольких недель действия хакеров были аккуратными, очень аккуратными. Мы не видели никакого движения. Они либо уже украли то, ради чего пришли, либо что-то еще.
ВЕДУЩИЙ: Эндрю и его команда готовы удалить вредоносное ПО из сети, но вдруг они увидели новость: их клиента пыталась выкупить компания, из страны, где предположительно находились те самые хакеры.
ЭНДРЮ: Как я уже сказал, за последние пару недель угроза затихла, а затем ни с того ни с сего возникла эта попытка выкупа. Это было за феноменальную сумму денег. Это стало неожиданностью для всех.
Мы продолжили постепенно удаление ПО, но хакеры так и не проявили активности. Это было очень странно.
ВЕДУЩИЙ: Итак, компания приняла предложение о выкупе?
ЭНДРЮ: Да, хакерам удалось купить компанию. История заставляет задуматься. Хакерский взлом похож на бизнес. Я никогда не работал над заданием, в котором было бы какое-либо повреждение или удаление файлов. Хотя воровство само по себе злонамеренно, кроме воровства я ничего не видел. Я никогда не видел кибервандализма, хактивизма или чего-то в этом роде. Всегда были попытки кражи и интеллектуальной собственности. Я думаю, это бизнес. Я думаю, что в реальном мире, в мире бизнеса, описанном выше, люди воруют идеи каждый день. Я просто думаю, что это другая его форма. Я думаю, что компаниям нужно по-другому смотреть на эти группы. Пытаться понять, кто их спонсоры. Все дело в деньгах.
